6. ITセキュリティ要件
6.2. IT セキュリティ要件根拠
6.2.1. IT セキュリティ機能要件根拠
セキュリティ対策方針と
IT
セキュリティ機能要件の対応関係を下表に示す。IT
セキュリティ機能 要件が少なくとも1
つ以上のセキュリティ対策方針に対応していることを示している。表
5
セキュリティ対策方針に対するIT
セキュリティ機能要件の適合性セキュリティ対策方針
セキュリティ機能要件
O. DECRYPT-PRINT O.OVERWRITE-ALL O.CRYPTO-KEY O.CHECK-HDD O.MAIL-CRYPTO O.MAIL-SIGN O.CRYPTO-CAPABILITY O.LOCK-HDD-CAPABILITY O.PKI-CAPABILITY ※ set.admin ※ set.service
set.admin ● ● ● ●
set.service ● ● ● ●
FCS_CKM.1
● ●FCS_COP.1
● ● ●FIA_AFL.1[1]
●FIA_AFL.1[2]
●FIA_AFL.1[3]
● ●FIA_SOS.1[1]
●FIA_SOS.1[2]
●FIA_SOS.1[3]
● ●FIA_UAU.2[1]
●FIA_UAU.2[2]
●FIA_UAU.6
● ●FIA_UAU.7
● ●FIA_UID.2[1]
●FIA_UID.2[2]
●FIA_UID.2[3]
●FMT_MOF.1[1]
●FMT_MOF.1[2]
●FMT_MOF.1[3]
●FMT_MOF.1[4]
●FMT_MTD.1[1]
● ● ● ● ● ●FMT_MTD.1[2]
●FMT_MTD.1[3]
●FMT_MTD.1[4]
● ●FMT_SMF.1
● ● ● ●FMT_SMR.1[1]
● ●FMT_SMR.1[2]
● ● ●FTA_SSL.3
●FAD_RIP.1
●FIA_EID.1
●FIT_CAP.1[1]
●FIT_CAP.1[2]
●FIT_CAP.1[3]
●注) set.admin、set.serviceは、要件のセットを示しており、「●」が記され対応関係があるとされる セキュリティ対策方針は、縦軸の※
set.admin、※ set.service
にて対応付けられる一連の要件セ ットが、当該セキュリティ対策方針にも対応していることを示す。6.2.1.2. 十分性
各セキュリティ対策方針に対して適用される
IT
セキュリティ機能要件について以下に説明する。! O.DECRYPT-PRINT(暗号化プリントの復号)
本セキュリティ対策方針は、暗号化プリントファイルに対する方針を説明している。
O.PKI-CAPABILITY
により識別されたIC
カードを用いて、暗号化プリントファイルに対する印 刷操作が行われると、O.PKI-CAPABILITY
によりIC
カードから暗号化プリントファイルを復号 するための正しい共通鍵(暗号鍵)が提供され、FCS_COP.1
により暗号化プリントファイルの復 号処理が動作する。よって本セキュリティ対策方針は満たされる。
! O.OVERWRITE-ALL
(完全上書き削除)本セキュリティ対策方針は、HDD のすべてのデータ領域を抹消し、利用者が設定した
NVRAM
上の秘匿情報を初期化するとしており、削除に関係する諸要件が必要である。FAD_RIP.1
により、これら対象とする情報が消去操作によって以前のどの情報の内容も利用できなくすることを保証する。
よって本セキュリティ対策方針は満たされる。
! O.CRYPTO-KEY(暗号鍵生成)
本セキュリティ対策方針は、
HDD
に書き込むすべてのデータを暗号化基板を利用して暗号化する ために、必要な暗号鍵を生成するとしており、暗号鍵生成に関係する諸要件が必要である。FCS_CKM.1
により、コニカミノルタ暗号仕様標準に従ったコニカミノルタHDD
暗号鍵生成メカニズム(
SHA-1
)を利用し、128bit
の暗号鍵を生成する。この機能要件によって本セキュリティ対策方針は満たされる。
! O.CHECK-HDD(HDD
の正当性確認)本セキュリティ対策方針は、不正な
HDD
が紛れ込んでいないことを確認するため、HDD
の正当 性を検証するとしており、TOEからの外部エンティティの検証に関係する諸要件が必要である。FIA_EID.1
により、TOEからHDD
へのアクションの前にHDD
を識別し、識別に失敗した場合 は、予定されていたアクションを停止する。この機能要件によって本セキュリティ対策方針は満たされる。
! O. MAIL-CRYPTO(S/MIME
の利用、暗号化)本セキュリティ対策方針は、
MFP
を利用してその場でスキャンした画像をメールにてユーザ自身 に送信する際に暗号化することを規定しており、暗号に関する諸要件が必要である。FCS_CKM.1
により、FIPS 186-2
に従った擬似乱数生成アルゴリズムを利用し、暗号鍵(128 bit、または
168 bit、または 192 bit、または 256 bit)を生成する。
FCS_COP.1
により、FIPS PUB 197のAES(暗号鍵:128 bit、または 192 bit、または 256 bit)
を利用してスキャンした画像を暗号化する。(これは
S/MIME
の送信データになる。)また同要件 によりSP800-67
の3-Key-Triple-DES
(暗号鍵:168 bit)を利用してスキャンした画像を暗号化 す る 。( こ れ も同様にS/MIME
の 送 信 デ ー タ に な る 。) こ れ ら共通 鍵( 暗 号鍵) は 、O.PKI-CAPABILITY
により識別されたIC
カードを用いて、FCS_COP.1 により、各宛先のS/MIME
証明書の公開鍵(1024bit、または2048 bit、または 3072 bit、または 4096 bit)である FIPS 186-2
のRSA
により暗号化される。また暗号アルゴリズムの設定はFMT_MTD.1[1]により
管理者に限定される。これらの機能要件により本セキュリティ対策方針は満たされる。
<管理者をセキュアに維持するために必要な要件>
⇒ set.admin参照
<サービスエンジニアをセキュアに維持するために必要な要件>
⇒
set.service
参照<各管理のための役割、管理機能>
これら管理を行う役割は、FMT_SMR.1[1]によりサービスエンジニア、FMT_SMR.1[2]により管 理者として維持される。またこれら管理機能は、FMT_SMF.1により特定される。
! O. MAIL-SIGN(S/MIME
の利用、署名)本セキュリティ対策方針は、
MFP
を利用してその場でスキャンした画像をメールにてユーザ自身 に送信する際に署名を付加することを想定したメッセージダイジェストを生成することを規定し ており、メッセージダイジェストに関する諸要件が必要である。O.PKI-CAPABILITY
により識別されたIC
カードを用いて、FCS_COP.1により、署名処理に必 要であるメッセージダイジェストを、FIPS 180-2 が規定するハッシュ関数(SHA-1、もしくはSHA-256)により生成する。またメッセージダイジェスト方式の設定は FMT_MTD.1[1]により管
理者に限定される。この機能要件により本セキュリティ対策方針は満たされる。
<管理者をセキュアに維持するために必要な要件>
⇒ set.admin参照
<サービスエンジニアをセキュアに維持するために必要な要件>
⇒ set.service参照
<各管理のための役割、管理機能>
これら管理を行う役割は、FMT_SMR.1[1]によりサービスエンジニア、FMT_SMR.1[2]により管 理者として維持される。またこれら管理機能は、FMT_SMF.1により特定される。
! O.CRYPTO-CAPABILITY(暗号化機能を利用するためのサポート動作)
本セキュリティ対策方針は、TOE外のエンティティである暗号化基板により、HDD 内に保管さ れるデータを暗号化するための動作を
TOE
がサポートするとしており、外部エンティティの動作 をサポートすることを規定する諸要件が必要である。FIT_CAP.1[1]により、暗号化基板が実現する暗号化機能に対して、HDD
のすべてのデータを暗号化機能で処理させるためのサポート機能を実現する。また暗号化に用いる暗号化ワードは、
FIA_SOS.1[3]により品質が検証され、FMT_MTD.1[1]、及び FMT_MTD.1[4]により設定はその
管理者に限定される。この機能要件によって本セキュリティ対策方針は満たされる。
<管理者をセキュアに維持するために必要な要件>
<サービスエンジニアをセキュアに維持するために必要な要件>
⇒ set.service参照
<各管理のための役割、管理機能>
これら管理を行う役割は、FMT_SMR.1[1]によりサービスエンジニア、FMT_SMR.1[2]により管 理者として維持される。またこれら管理機能は、FMT_SMF.1により特定される。
! O.LOCK-HDD-CAPABILITY(HDD
ロック機能を利用するためのサポート動作)本セキュリティ対策方針は、
TOE
外のエンティティであるHDD
により、設置されたMFP
以外 からの不正なアクセスを拒否するための動作をTOE
がサポートするとしており、外部エンティテ ィの動作をサポートすることを規定する諸要件が必要である。FIT_CAP.1[2]により、HDD
が実現するHDD
ロック機能に対して、HDDロックパスワードの変 更するためのサポート機能、HDD ロック機能を解除するためのサポート機能を実現する。HDD ロ ッ ク パ ス ワ ー ド は 、FIA_SOS.1[3]
に よ り品 質が検証さ れ 、FMT_MTD.1[1]
、 及 びFMT_MTD.1[4]によりその設定は管理者に限定される。
この機能要件によって本セキュリティ対策方針は満たされる。
<管理者をセキュアに維持するために必要な要件>
⇒ set.admin参照
<サービスエンジニアをセキュアに維持するために必要な要件>
⇒ set.service参照
<各管理のための役割、管理機能>
これら管理を行う役割は、FMT_SMR.1[1]によりサービスエンジニア、FMT_SMR.1[2]により管 理者として維持される。またこれら管理機能は、FMT_SMF.1により特定される。
! O.PKI-CAPABILITY(PKI
機能を利用するためのサポート動作)本セキュリティ対策方針は、
TOE
外のエンティティであるFIA_UID.2[3]により識別された IC
カ ードにより、その場でスキャンした画像の暗号化と署名、及び暗号化プリントファイルを復号す る共通鍵の復号等の動作をTOE
がサポートするとしており、外部エンティティの動作をサポート することを規定する諸要件が必要である。FIT_CAP.1[3]により、IC
カードが実現するPKI
機能に対して、スキャンした画像、及び暗号化 プリントファイルをPKI
機能で処理させるためのサポート機能を実現する。この機能要件によって本セキュリティ対策方針は満たされる。
" set.admin(管理者をセキュアに維持するために必要な要件のセット)
<管理者の識別認証>
FIA_UID.2[2]、 FIA_UAU.2[2]により、アクセスする利用者が管理者であることを識別認証する。
認証には、FIA_UAU.7により、パネルに保護されたフィードバックに入力毎
1
文字ごとに“*”を返し、認証をサポートする。
FIA_AFL.1[3]により、パネルから試行した不成功認証の場合は、失敗の度、5
秒間パネルからのすべての入力受付を拒否し、FIA_AFL.1[2]により、連続して不成功認証が上限値(1~5 回)に 達すると、認証中であればログオフし、以降管理者パスワードを利用するすべての認証機能をロ ックする。このロック状態は、電源
OFF/ON
などによるTOE
の起動によって解除機能が実行さ れ、管理者認証ロック時間が経過後に解除される。またサービスエンジニアによる管理者認証機 能のロック解除機能の動作によって解除される。管理者認証における不成功認証の試行回数である認証失敗回数の閾値の設定及び管理者認証ロッ ク時間は、FMT_MTD.1[1]により、管理者だけに許可される。
<識別認証された管理者のセッションの管理>
識別認証された管理者のセッションの持続時間は、パネルからログインした場合は
FTA_SSL.3
により、パネルオートログオフ時間が経過した後、セッションを終了することによって、不必要 なセッション接続に伴う攻撃の機会を低減させることに貢献している。なおパネルオートログオ フ時間の変更は、FMT_MTD.1[1]により管理者に制限される。<管理者の認証情報の管理など>
管理者パスワードは、FIA_SOS.1[2]により、品質が検証される。管理者パスワードの変更は、
FMT_MTD.1[2]により、管理者及びサービスエンジニアに制限される。管理者が管理者パスワー
ドを変更する場合は、FIA_UAU.6により再認証される。この再認証において、FIA_AFL.1[2]に より、連続して不成功認証が上限値(1~5回)に達すると、認証中であればログオフし、以降管 理者の認証状態を解除し、管理者パスワードを利用するすべての認証機能をロックする。このロ ック状態は、電源OFF/ON
などによるTOE
の起動によって解除機能が実行され、管理者認証ロ ック時間が経過後に解除される。<各管理のための役割、管理機能>
これら管理を行う役割は、
FMT_SMR.1[1]によりサービスエンジニアと FMT_SMR.1[2]により管
理者にて維持される。またこれら管理機能は、FMT_SMF.1により特定され、FMT_MOF.1[2]、及び